Pratima Harigunani
Magnetiese streep, EMV of gedrags-KI – as dit by kaartdiefstal kom, blaf banke die verkeerde boom? Wanneer sal ons afkyk na 'n paar regte nat vloere? Sentralisasie, KYC en privaatheid. By 'n paar nuwe skoengrepe? Blokketting
'n Vooraanstaande Russiese Bank - het onlangs grootoog gestaar na 'n groot data-oortreding van sy kliënte danksy 'n paar kwesbare kredietkaarte.
Dit klink dalk bekend vir die scenario 'n paar jaar gelede toe massiewe diefstalle by kleinhandel POS (Point of Sale) voetspore in die VSA plaasgevind het. EMV (Europay, Mastercard, Visa) was veronderstel om die oplossing te wees. Maar misdadigers het dit ook reggekry om daardie heining te flous. Hulle het begin om geknipte slimkaartskyfies met miniatuurmikroverwerkers saam te stel en was gou besig om vals betaalkaarte vir POS-sweep uit te sweep. Kyk net wat Gemini Advisory-verslag ontrafel het – 'n yslike 93 persent van die gesteelde kaarte het die nuwe skyfietegnologie gehad.
Natuurlik bly die hoop vir EMV behoue wanneer ons hoor wat data van Visa (Junie 2019) vertel – meer as 3.7 miljoen handelaarsliggings het EMV-kaart aanvaar en hierdie verskuiwing na EMV het (diegene wat met chip-opgradering gedoen word) die vreugde van 'n 87 per sent daling in valse kaartverwante bedrogdollarverliese (tussen September 2015 tot Maart 2019).
Maar wat van daardie misdadigers wat maklik aansoek doen vir en (Pheew!) regte, wettige, amper-regte McCoy-kredietkaarte met aktiewe EMV-skyfies van banke ontvang? Al wat hulle nodig het, is sintetiese identiteite (gooi regte sosiale sekerheidsnommers in met vals ouderdomme en adresse).
McAfee skat dat kubermisdaad die wêreldekonomie sowat $600 miljard kos, of 0.8 pct. van die globale bruto binnelandse produk.
Sameer Patil, genoot, Internasionale Sekuriteitstudieprogram en Sagnik Chakraborty, Navorser, Kuberveiligheidstudieprogram, Gateway House het onlangs uitgewys hoe die Indiese ekonomie gegaan het van grootliks kontantgebaseer na een wat meer gereeld op digitale betaalstelsels afhanklik is. En hoe hierdie verskuiwing finansiële insluiting gebring het en korrupsie verminder het, maar ook die omvang van kuberaanvalle in die betalingsinfrastruktuur deur georganiseerde kriminele sindikate en kuberkrakers, buitelandse regerings en hul gevolmagtigdes vergroot het.
Inderdaad, die koste van elke dollar van kleinhandelbedrogverliese het van $2.94 tot $3.13 tussen 2018 en 2019 beweeg (sê 'n ander verslag - 'n LexisNexis Risk Solutions bestudeer). Soveel as 86 persent van bedrogverliese wat in die sakke van middel-tot-groot e-handelkleinhandelaars met digitale goedere gekom het, het gebeur as gevolg van vriendelike (1ste party) en sintetiese ID-rekeninge.
Dataverlies en menslike knoeiery – nie so moeilike kolletjies om aan te sluit nie. Vir kredietkaartsegment – die verlies van data kan op baie maniere gebeur. Jy kan sien hoe sommige banke kredietkaarte Besigheid verkry deur hul DSA (Direkte Verkoopsagente) of FoS (Feet on Street) kontraktuele werksmag by algemene plekke – soos winkelsentrums, kleinhandelwinkels of by enige kantoorkampus, ens., dus is dit nogal redelik vatbaar vir dataverlies, omdat die PII (Persoonlik Identifiseerbare Inligting) en soms die bestaande Kredietkaartbesonderhede (van ander banke) met die bank se kredietkaartverkopers of verteenwoordigers gedeel word om nuwe krediet van hierdie nuwe bank te kry, verduidelik Dharmaraj Ramakrishnan, Sr. Direkteur- Bankwese en Betalings, FIS.
Dit blyk dat die skuldige in die geval van die onlangse Russiese bankbedrog toegang tot databasisse gehad het as deel van sy werk.
Alle sleutels op een fob, om een vinger
Sberbank se Veiligheidsdiens het sy interne ondersoek voltooi en Herman Gref, HUB, Voorsitter van die Uitvoerende Raad van Sberbank het om verskoning gevra in 'n verklaring wat sê: "Ons het baie geleer uit wat gebeur het en ons het ons stelsels heroorweeg om die uitwerking van menslike betroubaarheid. Ek wil graag al ons kliënte bedank vir die groot vertroue wat hulle in ons stel.”
Ja, kliënte stel baie vertroue in hierdie instellings en tegnologieë. Die vraag is – hoe ondeurdringbaar is hulle – uiteindelik? Wat as die idee van vertroue en data kan verander en die manier waarop ons na data-oortredings kyk, kan skud?
Kom ons begin met KYC (of Know Your Customer) higiëne – dit is ook 'n belangrike deel van vertroue aan die bank se kant. Is die gesentraliseerde aard van hierdie KYC-data 'n groot kwesbare punt, op een of ander manier?
Enige gesentraliseerde databerging is kwesbaar, want dit gee 'n enkele punt van die teiken vir kwaadwillige akteurs, meen kenners van Gateway House.
Altaf Halde, Global Business Head, PurpleTeam stem ook saam. "Ja, op hierdie tydstip is ons almal in 'n situasie wat ons dwing om sleutelprosesse te dupliseer en ons persoonlike dokumente / digitale identiteite oor verskeie dienste en oor verskeie dienste te stoor. Dit lei tot 'n baie swak kliënt-ervaring. Maar, nog belangriker, dit verhoog die risiko van aanvalle en data-oortredings veelvuldig.”
Maar Ramakrishnan van FIS verkies om te verskil. “Die besigheidsraamwerk wat by die databeskermingsraamwerk ingebed is, is belangrik om die stelsel te beveilig. Vanuit my perspektief is die gesentraliseerde dataverifikasie die regte manier om te gaan aangesien dit die enkele bron van waarheid is, mits die gesentraliseerde databasis op datum is. Soos ons vorder met tegnologie, moet ons die regte tegnologie gebruik vir die regte gebruiksgeval met die regte argitektuur om die datapunte te gaan haal en te valideer.”
Hy meen egter die gebruik van nuwe benaderings vir KYC. "Die reguleerder kan die bank versoek om nie die PII of kredietkaartbesonderhede van die potensiële kliënte in te samel nie, op sy beurt, versamel gebruikstegnologie om die datapunte intyds te valideer deur met ander opsies te integreer."
Die Speldekussingsmoordtruuk
Banke of finansiële instellings of spelers in die betalingsbedryf, daar is meer as finansiële skade wat ontvou wanneer kaarte gebreek word. Daar is data-verlies en privaatheid-indringing - daar is 'n rede waarom die swart mark van identiteitsdata so 'n skeur is.
“Dataskending kan PII, besigheidsgeheime, finansiële inligting of selfs intellektuele eiendom behels. In die finansiële segment sluit die algemene onthullings van data-oortredings persoonlike inligting van die kliënte sowel as hul demografiese inligting in. Hierdie soort oortredings kan lei tot finansiële bedrog, besigheidsverlies of selfs klanteverlies.” Ramakrishnan spel dit uit.
So as nie EMV nie, wat dan? Nuus het dit dat Visa werk aan 'n platform om sy ingenieurs te help om spoed te kies in die toets van gevorderde Kunsmatige Intelligensie (AI) algoritmes wat kredietkaartbedrog kan opspoor en voorkom.
Banke kan soveel as $12.4 miljard in 2023 aan KI bestee – vir inisiatiewe soos bedrogontleding – volgens IDC-ramings
Maar wat as die data wat AI-algoritmes knars steeds op die bedieners of infrastruktuur van 'n finansiële speler woon? Weereens 'n eenslag-affêre vir almal wat dit wil steel. Laat ons ook nie blind wees vir die vinnige opkoms van teenstanders KI nie. Aanvallers word selfs meer gesofistikeerd om diepleerstelsels te mislei namate die tyd verbykliek.
Halde herinner aan hoe ons almal getuig van die feit dat hierdie risiko's in onlangse tye met die sekonde toeneem. As 'n oortreding plaasvind, word die hele data of gedeeltelike data gekompromitteer wat in die sentrale bewaarplek is. Daarom word dit altyd aangeraai om van opkomende tegnologieë, insluitend blokketting, gebruik te maak om hierdie opkomende tegnologiese bedreigings die hoof te bied. Blockchain kan op 'n gefaseerde wyse ingestel word om die KYC-proses te desentraliseer, Gateway House-kundiges stel dieselfde voor.
Ramakrishnan beveel ook 'n tegnologie-gebaseerde proses aan wat die handmatige data-insameling kan vermy en die datapunte kan beskerm deur data-enkripsie op die databasisvlak te gebruik.
Soos die McAfee-verslag onderstreep het, moet die finansiële wêreld oorbeweeg na oop data-argitekture, standaardisering van bedreigingsdata, maniere van vinniger en dieper samewerking tussen sekuriteitsowerhede en spelers wat oor die hele wêreld versprei is. Die middele vir baie van hierdie oplossings – selfs beriggewing, interessant genoeg, kan op een plek lê – die blokketting.
Dit is belangrik om te verstaan dat die betalingsbedryf nie wil hê dat data gesteel moet word nie, en daarom is banke en verskaffers van betalingsoplossings in die meeste gevalle van kuberaanvalle deursigtig, soos Gateway House-kundiges ook aanvoer. “Dit is egter nodig dat data-oortredings en kuberveiligheidsvoorvalle onmiddellik aangemeld moet word.”
'n Beleid navorsingsverslag deur Gateway House in samewerking met die Swift Institute het ook 'n interessante aanbeveling in dieselfde trant gehad: Betalingsverwerkers moet verbruikers in staat stel om data te beheer deur middel van 'n toestemmingskontroleskerm waardeur hulle hul persoonlike en betalingsdata op webwerwe kan hersien, wysig of uitvee, soos bv. -handelswebwerwe.
Boonop het dit opgemerk dat die betalingsbedryf 'n bedryfswye platform moet skep om geklassifiseerde, ongeklassifiseerde en oopbroninligting oor kuberaanvalle en bedreigingsvektore te deel.
Soos 'n slim sluipmoordenaar wat meer as een teiken op dieselfde plek vermoor om dit moeilik te maak om op te spoor wie iemand vermoor het en hoekom - 'n slim sekuriteitstrategie kan ook hierdie gedesentraliseerde effek tot sy voordeel gebruik. Versprei die teikens en verswak die krag. Maak die stelsel vertroueloos en spuit werklike vertroue in. Gee die krag van beheer terug aan diegene wat die meeste ly wanneer groot kaartjiediefstalle plaasvind.
Die koms van blockchain maak dit alles nie net aanneemlik nie, maar nou prakties-maklik. Dit is nie die enigste antwoord nie, maar dit kan 'n goeie een wees om mee te begin.
Die enigste ding wat dit moeilik maak, is die wil om databeheer te laat vaar. Dit is nie 'n opknapping van tegnologie nie, maar van 'n hard-verskanste ingesteldheid.
Nie so maklik om weg te vee nie. Dit is tog nie 'n kredietkaart nie.
